32
1 Segurança e Auditoria de Sistemas Normas de Segurança tarquia Educacional do Vale do São Francisco - AEVSF culdade de Ciências Aplicadas e Sociais de Petrolina - FACAPE Profa. Cynara Carvalho [email protected]

Normas de Seguranca Da Informacao

Embed Size (px)

DESCRIPTION

Normas de Segunrança

Citation preview

  • Segurana e Auditoria de SistemasNormas de SeguranaAutarquia Educacional do Vale do So Francisco - AEVSFFaculdade de Cincias Aplicadas e Sociais de Petrolina - FACAPEProfa. Cynara [email protected]

  • Conceitos Antes de iniciar o estudo sobre as normas, devemos entender os conceitos referentes : Polticas (orientaes em conformidade com os objetivos de negcio); Regulamentaes (busca de conformidade com a legislao vigente); Baseline (nvel mnimo de proteo nos sistemas crticos); Diretrizes Em um contexto estratgico pode ser interpretado como aes ou caminhos a serem seguidos em determinados momentos. Orienta o que deve ser feito e como, para se alcanarem os objetivos estabelecidos na poltica [ISO 17799] Procedimentos (instrues operacionais); Normas de Segurana da Informao

  • O que so e para que servem as normas? aquilo que se estabelece como medida para a realizao de uma atividade. Uma norma tem como propsito definir regras e instrumentos de controle para assegurar a conformidade de um processo, produto ou servio. Quais os problemas gerados pela ausncia de normas? Normas de Segurana da Informao

  • Normas de Segurana da Informao O que so e para que servem as normas? Conforme definido pela Associao Brasileira de Normas Tcnicas (ABNT), os objetivos da normalizao so: Comunicao: proporcionar meios mais eficientes na troca de informao entre o fabricante e o cliente, melhorando a confiabilidade das relaes comerciais e de servios; Segurana: proteger a vida humana e a sade; Proteo do consumidor: prover a sociedade de mecanismos eficazes para aferir qualidade de produtos; Eliminao de barreiras tcnicas e comerciais: evitar a existncia de regulamentos conflitantes sobre produtos e servios em diferentes pases,facilitando assim, o intercmbio comercial.

  • Normas de Segurana da InformaoSurgimento das NormasEm outubro de 1967 foi criado um documento chamado Security Control for Computer System que marcou o passo inicial para criao de conjunto de regras para segurana de computadores.DoD tambm no ficou fora disto e teve grande participao na elaborao de regras.Em 1978 foi escrito Orange Book, conhecido tambm como Trusted Computer Evaluation Criteria por DoD. A verso final deste documento foi impresso em dezembro de 1985.

  • Normas de Segurana da InformaoO Orange Book considerado como marco inicial de um processo mundial de busca de medidas que permitem a um ambiente computacional ser qualificado como seguro.O "Orange Book" permite especificar o que deve ser implementado e fornecido por um software, para que ele seja classificado em um dos nveis de "segurana" pr-estipulados.

    Surgimento das Normas

  • Normas de Segurana da InformaoEste esforo foi liderado pela "International Organization for Standardization (ISO). No final do ano de 2000, o primeiro resultado desse esforo foi apresentado, que a norma internacional de Segurana da Informao "ISO/IEC-17799:2000", a qual j possui uma verso aplicada aos pases de lngua portuguesa, denominada "NBR ISO/IEC-17799.Surgimento das Normas

  • Normas de Segurana da InformaoDesenvolvimento de PadresPorque o desenvolvimento de padres e normas de segurana so importantes?Em que forma tais procedimentos ajudam em reduo e controle das vulnerabilidades existentes?

  • Normas de Segurana da InformaoA ISO 17799 um conjunto de recomendaes para gesto da SI para uso de implementao ou manuteno da segurana em suas organizaes.Providencia uma base comum para o desenvolvimento de normas de segurana organizacional e das prticas efetivas de gesto da segurana.A ISO 17799 atua em segurana da informao considerando tecnologia, processos e pessoas. Esta norma publicada no Brasil pela ABNT com o cdigo NBR ISO 17799.NBR/ISO IEC 17799

  • Normas de Segurana da InformaoBreve histrico da ISO 17799A Associao Britnica de Normas tinha 2 normas referentes segurana de sistemas de informao: a BS 7799-1 e a BS 7799-2.A BS 7799-1 foi submetida ao ISO e aprovada (com problemas), vindo a ser a ISO 17799.A BS 7799-2 se referia especialmente ao processo de certificao do aspecto de segurana em organizaes e no foi submetida para o ISO.

  • Normas de Segurana da Informao1. Objetivo da norma2. Termos e definies3. Poltica de segurana4. Segurana organizacional5. Classificao e controle dos ativos de informao6. Segurana de pessoas7. Segurana fsica e do ambiente8. Gerenciamento de operaes e comunicaes9. Controle de acesso10. Desenvolvimento de sistemas.11. Gesto de continuidade de negcios12. ConformidadeDiversas partes da ISO 17799

  • Normas de Segurana da InformaoISO 17799 Segurana OrganizacionalInfraestrutura de segurana: indica que uma estrutura organizacional deve ser criada para iniciar e implementar as medidas de segurana. Segurana no acesso de prestadores de servio: garantir a segurana dos ativos acessados por prestadores de servios.Segurana envolvendo servios terceirizados: deve-se incluir nos contratos de terceirizao de servios computacionais clusulas para segurana.

  • Normas de Segurana da InformaoISO 17799 Segurana de PessoasSegurana na definio e Recursos de Trabalho: Devem ser includas as preocupaes de segurana no momento da contratao de pessoas. Verificar os critrios de segurana no processo de seleo. Funcionrios devem assinar o acordo de confidencialidade.Treinamento dos usurios: educao, conscientizao e treinamento referentes a segurana.Mecanismos de Incidente de Segurana: Deve existir mecanismos para funcionrios poderem reportar possveis falhas.Processo disciplinar formal: Deve haver um processo disciplinar formal para funcionrios que violaram os procedimentos de segurana.

  • Normas de Segurana da InformaoISO 17799 Segurana Fsica e de Ambientereas de segurana: prevenir acesso no autorizado, dano e interferncia nas instalaes fsicas. Isso inclui: definir um permetro de segurana, controles de entrada fsica, etc.Segurana de equipamento: convm proteger equipamentos fisicamente de ameaas e perigos ambientais. Isso inclui roubo, fogo, e outros perigos ambientais, proteo contra falta de energia, segurana do cabeamento, definio de poltica de manuteno, proteo a equipamentos fora das instalaes.Controles gerais: Por exemplo proteo de tela com senha para evitar que informao fique visvel em tela, deve-se ter uma poltica quanto a deixar papis na impressora por muito tempo, etc.

  • Normas de Segurana da InformaoISO 17799 Controle de Acesso (1)Gerenciamento de acesso dos usurios:Registro do usurio: ID nica para cada usurio, pedir assinatura em termo de responsabilidade, remover usurio assim que o funcionrio sair da empresa .Gerenciamento de privilgios: aqui entra o controle de acesso baseado em papis; basicamente, se recomenda que usurios tenham apenas os privilgios necessrios para fazer seu trabalho.Gerenciamento de senhas: termo de responsabilidade deve afirmar que senha secreta e no deve ser divulgada, senhas temporrias devem funcionar apenas uma vez.Anlise crtica dos direitos de acesso do usurio: deve-se analisar os direitos de acesso dos usurios com freqncia de 6 meses ou menos.

  • Normas de Segurana da InformaoISO 17799 Controle de Acesso (2)Responsabilidades dos usurios:Senhas: segundo norma, usurio deve zelar pela sua senha e criar uma senha considerada aceitvel (mnimo de 6 caracteres).Equipamentos sem monitorao: Usurios deve tomar os cuidados necessrios ao deixar um equipamento sem monitoramento, com sees abertas.

  • Normas de Segurana da InformaoISO 17799 Controle de Acesso (3)Controle de Acesso ao SO Controle de acesso ao sistema operacional: Identificao automtica de terminal: nos casos onde deve-se conhecer onde um usurio efetua logon.Procedimentos de entrada no sistema (logon). Sugestes como: limitar o nmero de tentativas erradas para o logon e no fornecer ajuda no processo de logon, entre outros.Identificao de usurios: a no ser em casos excepcionais cada usurio deve ter apenas um ID. Considerar outras tecnologias de identificao e autenticao: smart cards, autenticao biomtrica.Sistema de Gerenciamento de Senhas: Contm os atributos desejveis para sistema que l, armazena e verifica senhas.

  • Normas de Segurana da InformaoISO 17799 Controle de Acesso (4)Controle de Acesso s aplicaesRegistro de Eventos: Trilha de auditoria registrando excees e outros eventos de segurana devem ser armazenados por um tempo adequado.Monitorao do Uso do Sistema: Os procedimentos do monitorao do uso do sistema devem ser estabelecidos. Uma anlise crtica dos logs deve ser feita de forma peridica.Sincronizao dos Relgios: Para garantir a exatido dos registros de auditoria.

  • Normas de Segurana da InformaoISO 17799 Controle de Acesso (5)Computao MvelUsurios de equipamentos mveis devem ser conscientizados das prticas de segurana, incluindo senhas, criptografia entre outros.

  • Normas de Segurana da InformaoISO 17799 Gesto de Continuidade de NegciosDeve-se desenvolver planos de contingncia para caso de falhas de segurana, desastres, perda de servio, etc.Estes planos devem ser documentados, e o pessoal envolvido treinado. Os planos de contingncia devem ser testados regularmente, pois tais planos quando concebidos teoricamente, podem apresentar falhas devido a pressupostos incorretos, omisses ou mudana de equipamento ou pessoal.

  • Normas de Segurana da InformaoISO 17799 Componentes do Plano de Continuidade de Negcioscondies para a ativao do plano;procedimentos de emergncia a serem tomados;procedimentos de recuperao para transferir atividades essenciais para outras localidades, equipamentos, programas, entre outros;procedimentos de recuperao quando do estabelecimento das operaes;programao de manuteno que especifique quando e como o plano dever ser testado;desenvolvimento de atividades de treinamento e conscientizao do pessoal envolvido;designao de responsabilidades.

  • Normas de Segurana da InformaoISO 17799 ConformidadeConformidade com Requisitos Legais: Para evitar a violao de qualquer lei, estatuto, regulamentao ou obrigaes contratuais. Evitar a violao de Direitos Autorais dos aplicativos.Anlise Crtica da Poltica de Segurana e da Conformidade Tcnica.Consideraes referentes Auditoria de Sistemas.

  • Normas de Segurana da InformaoBS 7799-2O BS 7799-2 a segunda parte do padro de segurana ingls cuja primeira parte virou o ISO 17799.O BS 7799-2 fala sobre certificao de segurana de organizaes; isto , define quando e como se pode dizer que uma organizao segue todo ou parte do ISO 17799 (na verdade do BS 7799-1).

  • Normas de Segurana da InformaoISO 15408Vrios pases (EUA, Canad, Frana, Inglaterra, Alemanha, etc) estavam desenvolvendo seus padres para sistemas seguros (mas no militares). Nos EUA o padro se chamava TCSEC (Trusted Computer System Evaluation Criteria), no Canad CTCPEC, etc. Os pases europeus decidiram unificar seus critrios, criando o Information Technology Security Evaluation Criteria (ITSEC). Mais tarde (1990) houve a unificao do padro europeu e norte americano, criando- se assim o Common Criteria (CC). A verso 2.1 do CC se tornou o ISO 15408.

  • ISO 15408 um conjunto de trs volumes:Primeiro discute definies e metodologia;Segundo lista um conjunto de requisitos de segurana;Terceiro fala de metodologias de avaliao.Diferente do 17799, 15408 um CC para definir e avaliar requisitos de segurana de sistemas e no de organizaes.

    Normas de Segurana da Informao

  • Normas de Segurana da Informao Viso Geral da famlia ISO 27000 Nmero: ISO IEC 27001. Ttulo: Information Security Management Systems- Requirements. Aplicao: Esta norma aplicvel a qualquer organizao, independente do seu ramo de atuao, e define requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gesto de Segurana da Informao. A ISO IEC 27001 a norma usada para fins de certificao e substitui a norma Britnica BS7799-2:2002. Portanto, uma organizao que deseje implantar um SGSI deve adotar como base a ISO IEC 27001. Situao: Norma aprovada e publicada pela ISO em Genebra, em 15.10.2005. No Brasil, a ABNT publicou como Norma Brasileira NBR ISO IEC 27001 no primeiro trimestre de 2006.

  • Normas de Segurana da Informao Viso Geral da famlia ISO 27000 Nmero: ISO IEC 27002 Ttulo: Information Technology - Code of practice for information Security Management. Aplicao: Norma aprovada e publicada pela ISO em Genebra, em 15.06.2005. No Brasil, a ABNT publicou como Norma Brasileira NBR ISO IEC 17799 no dia 24 de agosto de 2005. Situao: Norma aprovada e publicada pela ISO em Genebra, em 15.10.2005. No Brasil, a ABNT publicou como Norma Brasileira NBR ISO IEC 27002 no primeiro trimestre de 2006.

  • Normas de Segurana da Informao Viso Geral da famlia ISO 27000 Nmero: ISO IEC 1 st WD 27003. Ttulo: Information Security Management Systems-Implementation Guidance. Aplicao: Este projeto de norma tem como objetivo fornecer um guia prtico para implementao de um Sistema de Gesto da Segurana da Informao, baseado na ISO IEC 27001. Situao: Este projeto de norma encontra-se em um estgio de desenvolvimento, denominado de WD-Working Draft. A previso para publicao como norma internacional 2008-2009.

  • Normas de Segurana da Informao Viso Geral da famlia ISO 27000 Nmero: ISO IEC 2nd WD 27004. Ttulo: Information Security Management-Measurements. Aplicao: Este projeto de norma fornece diretrizes com relao a tcnicas e procedimentos de medio para avaliar a eficcia dos controles de segurana da informao implementados, dos processos de segurana da informao e do Sistema de Gesto da Segurana da Informao. Situao: Este projeto de norma encontra-se em um estgio onde vrios comentrios j foram discutidos e incorporados ao projeto. A previso para publicao como norma internacional 2008-2009.

  • Normas de Segurana da Informao Viso Geral da famlia ISO 27000 Nmero: ISO IEC 2nd CD 27005. Ttulo: Information Security Management Systems- Information Security Risk Management. Aplicao: Este projeto de norma fornece diretrizes para o gerenciamento de riscos de segurana da informao. Situao: Este projeto de norma j se encontra em um estgio mais avanado, pois vem sendo discutido h mais de dois anos. A previso para publicao como norma internacional 2007. (Publicada em julho de 2008).

  • Normas de Segurana da Informao Viso Geral da famlia ISO 27000 Nmero: ISO IEC 2nd CD 27006. Ttulo: Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems.

    Aplicao: Norma de requisitos para a credibilidade de organizaes que oferecem servios de certificao de sistemas de gesto da SI. Situao: Publicada em 2007.